세계적 수준의 CISO가 2023년에 더 많은 예산과 이사회 신뢰를 얻는 방법
이 기사는 에 처음 게재되었습니다. SC 매거진.여기에 업데이트 및 신디케이트되었습니다.
CISO는 점점 더 어려운 상황에 처해 있습니다. 즉, 더 많은 자산을 보호하고, 더 많은 코드를 배포하고, 더 큰 공격 대상을 줄이고, 급격히 줄어드는 재정 자원으로 이를 처리해야 합니다.사이버 보안이 비용 센터로 간주되고 있다는 것은 피할 수 없는 사실입니다. 조직의 보안 프로그램이 위협 행위자를 가로막아 내일의 끔찍한 헤드라인이 되고 있음에도 불구하고 보안 리더는 경영진이 이해할 수 있는 언어로 해당 부서의 전반적인 비즈니스 가치를 판매하고 입증하기 위해 더 많은 노력을 기울여야 합니다.
세계적 수준의 CISO는 이러한 상황에 대응하여 고객 신뢰와 브랜드 평판을 높이고 사용 가능한 모든 도구를 활용하여 부인할 수 없는 가치를 창출하는 포괄적인 보안 프로그램을 주도하고 있습니다.보안 우수성을 유지하기 위한 시간, 자원 또는 인력이 충분하지 않다는 사고방식을 버리고 일반적인 보안 위험에 대한 전략적이고 예방적인 접근 방식으로 시작됩니다.
이사회실에서 토론을 변경하세요.
현재의 경제 상황에서 지출하는 비용, 고용 규모, 비즈니스 목표에 미치는 전략적 영향에 대한 조사를 피하는 기업과 부서는 거의 없습니다.현대 기업에 광범위한 사이버 보안 프로그램이 필요하다는 것은 당연한 일처럼 보일 수 있지만, 이는 조직에 상당한 비용을 초래하므로 투자 수익률 (ROI) 측면에서 정당화하기란 쉽지 않습니다.
최고 경영진 및 이사회 이해관계자들은 투자 사이버 보안 이니셔티브의 예상 성과를 스프레드시트의 수치와는 차원이 다른 용어로 명확하게 이해해야 합니다.CISO는 기술 지식과 이해 수준이 서로 다르므로 CISO는 접근 가능한 메시지로 자신의 사례를 제시하기 위해 노력해야 합니다.동급 최고의 사례를 제시하기 위해 프로그램의 규모, 보호가 필요한 사항, 활성화해야 할 대상을 설명하십시오.공격이 증가하고 있습니다. 하지만 예산이 이를 따라가지 못하고 있습니다.그리고 선한 싸움에 맞서 싸우는 것은 그 장점을 정당화하기 위한 구두 캠페인에서 시작됩니다.
업종을 불문하고 모든 회사가 빠르게 기술 회사로 변모하고 있다고 오랫동안 말해왔습니다.대부분의 조직에서 디지털 우선 접근 방식이 일반적이기 때문에, 이는 당시에 제공할 수 있는 최상의 보호가 필요한 대규모 공격 대상 영역입니다.보안 리더는 여러 가지 역할을 담당하지만 (너무 늦기 전까지는) 간과되고 있는 것은 이들이 본질적으로 고객 신뢰의 수호자라는 사실입니다.이는 가치 제안으로서 아무리 강조해도 지나치지 않으며 영업 및 마케팅 목표 못지않게 중요합니다.
보안에 대한 예방적 접근 방식의 가치를 입증하십시오.
최신 사이버 보안 통계 머리를 기르는 사람이야하지만 FUD를 이용하고 겁을 주는 것은 일반적으로 더 많은 예산을 확보하는 데 있어 쓸데없는 전술입니다.기업 경영진 중 사이버 보안이 우선 순위가 아니라고 주장하는 사람은 거의 없을 것입니다. 하지만 더 나은 결과를 위해 기존 리소스를 활용하는 진취적인 전략이 제시된다면 예산 증액을 수용할 가능성이 훨씬 더 높습니다.
노이스타 국제 안전 보장 이사회의 최근 연구에 따르면 기업의 50% 에 불과합니다. 알려진 사이버 보안 문제를 해결하기에 충분한 예산이 있다고 생각합니다.그리고 글로벌 사이버 공격과 함께 38% 증가했습니다. 2021년에서 2022년 사이에 이는 일반 CISO에게 훨씬 더 어려운 여정이 될 것입니다.하지만 진정한 세계적 수준의 보안 리더는 이러한 문제를 극복하고 역경을 헤쳐나갈 수 있는 역량을 갖추고 있습니다.
대부분의 시나리오에서 예방은 치료보다 쉽고 간단하며 사이버 보안도 다르지 않습니다.총체적 보안 프로그램은 사후 대응 조치를 뛰어넘어 취약성 관리까지 확장해야 합니다. 많은 CISO가 가장 우려하는 세 가지 문제 중 하나개발자가 이러한 움직임에 없어서는 안될 부분이라는 것은 당연합니다.일반적인 보안 버그를 정면으로 해결하려면 실습 교육이 필요합니다. 이를 통해 이러한 문제를 근원적으로 제거하고 애초에 프로덕션 환경에 진입하지 못하게 할 수 있습니다.지금은 품질이 낮고 안전하지 않은 코드를 계속 용서할 수 없는 시점에 이르렀습니다. 개발 집단의 숙련도를 높이는 것이 코드 수준의 취약점을 해결하는 가장 비용 효율적이고 강력한 해결책입니다.
CISO는 기존 예산을 유지하기 위해 고군분투하는 것이 중요하며, 특히 개발자를 위한 역할 기반 보안 업스킬링의 이점을 자세히 설명하는 것이 다루기 힘든 보안 기술 스택에 다음 “은총알”을 추가하는 것보다 더 빠른 승리입니다.
보안은 브랜드 기본 사항의 일부가 되어야 합니다.
대부분의 CISO는 마케팅에 대한 열정을 발휘하기 위해 자신의 역할을 맡지는 않았지만, 적어도 돈줄을 쥐고 있는 사람들에게 사례를 제시할 때는 이 부분을 담당할 수 있는 영역 중 하나입니다.
사이버 보안 프로그램이 고객 신뢰와 브랜드 충성도에 미치는 영향은 아무리 강조해도 지나치지 않습니다. 대규모 보안 침해로 인해 성경에 나오는 내용이 크게 유출될 수 있습니다.이와 반대로, 엄격한 보안 관행을 핵심 브랜드 가치와 연계하면 데이터 프라이버시 및 보호가 단순히 최우선이 아니라 고객이 신뢰할 수 있는 대상이라는 분명한 메시지를 전달할 수 있습니다.
현대의 CISO는 지속적인 긍정적인 고객 감정 및 신뢰와 관련된 보안 전략 및 정책의 경쟁 우위를 강조하는 데 시간을 할애하는 것이 중요합니다. 사후 보안만으로는 동일한 영향을 미치지 않으며, 사용 가능한 모든 리소스로 특권 자산을 보호하는 데 초점을 맞춘 균형 잡힌 접근 방식이 궁극적인 차별화 요소가 될 수 있습니다.
더 이상 변명의 여지가 없지만, CISO가 진정으로 혁신적인 보안 전략을 위한 적절한 자금 조달을 모색하면서 강조할 수 있는 설득력 있는 이유는 많습니다.
CISO는 점점 더 어려운 상황에 처해 있습니다. 즉, 더 많은 자산을 보호하고, 더 많은 코드를 배포하고, 더 큰 공격 대상을 줄이고, 급격히 줄어드는 재정 자원으로 이를 처리해야 합니다.사이버 보안이 비용 센터로 간주되고 있다는 것은 피할 수 없는 사실입니다. 조직의 보안 프로그램이 위협 행위자를 가로막아 내일의 끔찍한 헤드라인이 되고 있음에도 불구하고 보안 리더는 경영진이 이해할 수 있는 언어로 해당 부서의 전반적인 비즈니스 가치를 판매하고 입증하기 위해 더 많은 노력을 기울여야 합니다.
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbaren
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
이 기사는 에 처음 게재되었습니다. SC 매거진.여기에 업데이트 및 신디케이트되었습니다.
CISO는 점점 더 어려운 상황에 처해 있습니다. 즉, 더 많은 자산을 보호하고, 더 많은 코드를 배포하고, 더 큰 공격 대상을 줄이고, 급격히 줄어드는 재정 자원으로 이를 처리해야 합니다.사이버 보안이 비용 센터로 간주되고 있다는 것은 피할 수 없는 사실입니다. 조직의 보안 프로그램이 위협 행위자를 가로막아 내일의 끔찍한 헤드라인이 되고 있음에도 불구하고 보안 리더는 경영진이 이해할 수 있는 언어로 해당 부서의 전반적인 비즈니스 가치를 판매하고 입증하기 위해 더 많은 노력을 기울여야 합니다.
세계적 수준의 CISO는 이러한 상황에 대응하여 고객 신뢰와 브랜드 평판을 높이고 사용 가능한 모든 도구를 활용하여 부인할 수 없는 가치를 창출하는 포괄적인 보안 프로그램을 주도하고 있습니다.보안 우수성을 유지하기 위한 시간, 자원 또는 인력이 충분하지 않다는 사고방식을 버리고 일반적인 보안 위험에 대한 전략적이고 예방적인 접근 방식으로 시작됩니다.
이사회실에서 토론을 변경하세요.
현재의 경제 상황에서 지출하는 비용, 고용 규모, 비즈니스 목표에 미치는 전략적 영향에 대한 조사를 피하는 기업과 부서는 거의 없습니다.현대 기업에 광범위한 사이버 보안 프로그램이 필요하다는 것은 당연한 일처럼 보일 수 있지만, 이는 조직에 상당한 비용을 초래하므로 투자 수익률 (ROI) 측면에서 정당화하기란 쉽지 않습니다.
최고 경영진 및 이사회 이해관계자들은 투자 사이버 보안 이니셔티브의 예상 성과를 스프레드시트의 수치와는 차원이 다른 용어로 명확하게 이해해야 합니다.CISO는 기술 지식과 이해 수준이 서로 다르므로 CISO는 접근 가능한 메시지로 자신의 사례를 제시하기 위해 노력해야 합니다.동급 최고의 사례를 제시하기 위해 프로그램의 규모, 보호가 필요한 사항, 활성화해야 할 대상을 설명하십시오.공격이 증가하고 있습니다. 하지만 예산이 이를 따라가지 못하고 있습니다.그리고 선한 싸움에 맞서 싸우는 것은 그 장점을 정당화하기 위한 구두 캠페인에서 시작됩니다.
업종을 불문하고 모든 회사가 빠르게 기술 회사로 변모하고 있다고 오랫동안 말해왔습니다.대부분의 조직에서 디지털 우선 접근 방식이 일반적이기 때문에, 이는 당시에 제공할 수 있는 최상의 보호가 필요한 대규모 공격 대상 영역입니다.보안 리더는 여러 가지 역할을 담당하지만 (너무 늦기 전까지는) 간과되고 있는 것은 이들이 본질적으로 고객 신뢰의 수호자라는 사실입니다.이는 가치 제안으로서 아무리 강조해도 지나치지 않으며 영업 및 마케팅 목표 못지않게 중요합니다.
보안에 대한 예방적 접근 방식의 가치를 입증하십시오.
최신 사이버 보안 통계 머리를 기르는 사람이야하지만 FUD를 이용하고 겁을 주는 것은 일반적으로 더 많은 예산을 확보하는 데 있어 쓸데없는 전술입니다.기업 경영진 중 사이버 보안이 우선 순위가 아니라고 주장하는 사람은 거의 없을 것입니다. 하지만 더 나은 결과를 위해 기존 리소스를 활용하는 진취적인 전략이 제시된다면 예산 증액을 수용할 가능성이 훨씬 더 높습니다.
노이스타 국제 안전 보장 이사회의 최근 연구에 따르면 기업의 50% 에 불과합니다. 알려진 사이버 보안 문제를 해결하기에 충분한 예산이 있다고 생각합니다.그리고 글로벌 사이버 공격과 함께 38% 증가했습니다. 2021년에서 2022년 사이에 이는 일반 CISO에게 훨씬 더 어려운 여정이 될 것입니다.하지만 진정한 세계적 수준의 보안 리더는 이러한 문제를 극복하고 역경을 헤쳐나갈 수 있는 역량을 갖추고 있습니다.
대부분의 시나리오에서 예방은 치료보다 쉽고 간단하며 사이버 보안도 다르지 않습니다.총체적 보안 프로그램은 사후 대응 조치를 뛰어넘어 취약성 관리까지 확장해야 합니다. 많은 CISO가 가장 우려하는 세 가지 문제 중 하나개발자가 이러한 움직임에 없어서는 안될 부분이라는 것은 당연합니다.일반적인 보안 버그를 정면으로 해결하려면 실습 교육이 필요합니다. 이를 통해 이러한 문제를 근원적으로 제거하고 애초에 프로덕션 환경에 진입하지 못하게 할 수 있습니다.지금은 품질이 낮고 안전하지 않은 코드를 계속 용서할 수 없는 시점에 이르렀습니다. 개발 집단의 숙련도를 높이는 것이 코드 수준의 취약점을 해결하는 가장 비용 효율적이고 강력한 해결책입니다.
CISO는 기존 예산을 유지하기 위해 고군분투하는 것이 중요하며, 특히 개발자를 위한 역할 기반 보안 업스킬링의 이점을 자세히 설명하는 것이 다루기 힘든 보안 기술 스택에 다음 “은총알”을 추가하는 것보다 더 빠른 승리입니다.
보안은 브랜드 기본 사항의 일부가 되어야 합니다.
대부분의 CISO는 마케팅에 대한 열정을 발휘하기 위해 자신의 역할을 맡지는 않았지만, 적어도 돈줄을 쥐고 있는 사람들에게 사례를 제시할 때는 이 부분을 담당할 수 있는 영역 중 하나입니다.
사이버 보안 프로그램이 고객 신뢰와 브랜드 충성도에 미치는 영향은 아무리 강조해도 지나치지 않습니다. 대규모 보안 침해로 인해 성경에 나오는 내용이 크게 유출될 수 있습니다.이와 반대로, 엄격한 보안 관행을 핵심 브랜드 가치와 연계하면 데이터 프라이버시 및 보호가 단순히 최우선이 아니라 고객이 신뢰할 수 있는 대상이라는 분명한 메시지를 전달할 수 있습니다.
현대의 CISO는 지속적인 긍정적인 고객 감정 및 신뢰와 관련된 보안 전략 및 정책의 경쟁 우위를 강조하는 데 시간을 할애하는 것이 중요합니다. 사후 보안만으로는 동일한 영향을 미치지 않으며, 사용 가능한 모든 리소스로 특권 자산을 보호하는 데 초점을 맞춘 균형 잡힌 접근 방식이 궁극적인 차별화 요소가 될 수 있습니다.
더 이상 변명의 여지가 없지만, CISO가 진정으로 혁신적인 보안 전략을 위한 적절한 자금 조달을 모색하면서 강조할 수 있는 설득력 있는 이유는 많습니다.
이 기사는 에 처음 게재되었습니다. SC 매거진.여기에 업데이트 및 신디케이트되었습니다.
CISO는 점점 더 어려운 상황에 처해 있습니다. 즉, 더 많은 자산을 보호하고, 더 많은 코드를 배포하고, 더 큰 공격 대상을 줄이고, 급격히 줄어드는 재정 자원으로 이를 처리해야 합니다.사이버 보안이 비용 센터로 간주되고 있다는 것은 피할 수 없는 사실입니다. 조직의 보안 프로그램이 위협 행위자를 가로막아 내일의 끔찍한 헤드라인이 되고 있음에도 불구하고 보안 리더는 경영진이 이해할 수 있는 언어로 해당 부서의 전반적인 비즈니스 가치를 판매하고 입증하기 위해 더 많은 노력을 기울여야 합니다.
세계적 수준의 CISO는 이러한 상황에 대응하여 고객 신뢰와 브랜드 평판을 높이고 사용 가능한 모든 도구를 활용하여 부인할 수 없는 가치를 창출하는 포괄적인 보안 프로그램을 주도하고 있습니다.보안 우수성을 유지하기 위한 시간, 자원 또는 인력이 충분하지 않다는 사고방식을 버리고 일반적인 보안 위험에 대한 전략적이고 예방적인 접근 방식으로 시작됩니다.
이사회실에서 토론을 변경하세요.
현재의 경제 상황에서 지출하는 비용, 고용 규모, 비즈니스 목표에 미치는 전략적 영향에 대한 조사를 피하는 기업과 부서는 거의 없습니다.현대 기업에 광범위한 사이버 보안 프로그램이 필요하다는 것은 당연한 일처럼 보일 수 있지만, 이는 조직에 상당한 비용을 초래하므로 투자 수익률 (ROI) 측면에서 정당화하기란 쉽지 않습니다.
최고 경영진 및 이사회 이해관계자들은 투자 사이버 보안 이니셔티브의 예상 성과를 스프레드시트의 수치와는 차원이 다른 용어로 명확하게 이해해야 합니다.CISO는 기술 지식과 이해 수준이 서로 다르므로 CISO는 접근 가능한 메시지로 자신의 사례를 제시하기 위해 노력해야 합니다.동급 최고의 사례를 제시하기 위해 프로그램의 규모, 보호가 필요한 사항, 활성화해야 할 대상을 설명하십시오.공격이 증가하고 있습니다. 하지만 예산이 이를 따라가지 못하고 있습니다.그리고 선한 싸움에 맞서 싸우는 것은 그 장점을 정당화하기 위한 구두 캠페인에서 시작됩니다.
업종을 불문하고 모든 회사가 빠르게 기술 회사로 변모하고 있다고 오랫동안 말해왔습니다.대부분의 조직에서 디지털 우선 접근 방식이 일반적이기 때문에, 이는 당시에 제공할 수 있는 최상의 보호가 필요한 대규모 공격 대상 영역입니다.보안 리더는 여러 가지 역할을 담당하지만 (너무 늦기 전까지는) 간과되고 있는 것은 이들이 본질적으로 고객 신뢰의 수호자라는 사실입니다.이는 가치 제안으로서 아무리 강조해도 지나치지 않으며 영업 및 마케팅 목표 못지않게 중요합니다.
보안에 대한 예방적 접근 방식의 가치를 입증하십시오.
최신 사이버 보안 통계 머리를 기르는 사람이야하지만 FUD를 이용하고 겁을 주는 것은 일반적으로 더 많은 예산을 확보하는 데 있어 쓸데없는 전술입니다.기업 경영진 중 사이버 보안이 우선 순위가 아니라고 주장하는 사람은 거의 없을 것입니다. 하지만 더 나은 결과를 위해 기존 리소스를 활용하는 진취적인 전략이 제시된다면 예산 증액을 수용할 가능성이 훨씬 더 높습니다.
노이스타 국제 안전 보장 이사회의 최근 연구에 따르면 기업의 50% 에 불과합니다. 알려진 사이버 보안 문제를 해결하기에 충분한 예산이 있다고 생각합니다.그리고 글로벌 사이버 공격과 함께 38% 증가했습니다. 2021년에서 2022년 사이에 이는 일반 CISO에게 훨씬 더 어려운 여정이 될 것입니다.하지만 진정한 세계적 수준의 보안 리더는 이러한 문제를 극복하고 역경을 헤쳐나갈 수 있는 역량을 갖추고 있습니다.
대부분의 시나리오에서 예방은 치료보다 쉽고 간단하며 사이버 보안도 다르지 않습니다.총체적 보안 프로그램은 사후 대응 조치를 뛰어넘어 취약성 관리까지 확장해야 합니다. 많은 CISO가 가장 우려하는 세 가지 문제 중 하나개발자가 이러한 움직임에 없어서는 안될 부분이라는 것은 당연합니다.일반적인 보안 버그를 정면으로 해결하려면 실습 교육이 필요합니다. 이를 통해 이러한 문제를 근원적으로 제거하고 애초에 프로덕션 환경에 진입하지 못하게 할 수 있습니다.지금은 품질이 낮고 안전하지 않은 코드를 계속 용서할 수 없는 시점에 이르렀습니다. 개발 집단의 숙련도를 높이는 것이 코드 수준의 취약점을 해결하는 가장 비용 효율적이고 강력한 해결책입니다.
CISO는 기존 예산을 유지하기 위해 고군분투하는 것이 중요하며, 특히 개발자를 위한 역할 기반 보안 업스킬링의 이점을 자세히 설명하는 것이 다루기 힘든 보안 기술 스택에 다음 “은총알”을 추가하는 것보다 더 빠른 승리입니다.
보안은 브랜드 기본 사항의 일부가 되어야 합니다.
대부분의 CISO는 마케팅에 대한 열정을 발휘하기 위해 자신의 역할을 맡지는 않았지만, 적어도 돈줄을 쥐고 있는 사람들에게 사례를 제시할 때는 이 부분을 담당할 수 있는 영역 중 하나입니다.
사이버 보안 프로그램이 고객 신뢰와 브랜드 충성도에 미치는 영향은 아무리 강조해도 지나치지 않습니다. 대규모 보안 침해로 인해 성경에 나오는 내용이 크게 유출될 수 있습니다.이와 반대로, 엄격한 보안 관행을 핵심 브랜드 가치와 연계하면 데이터 프라이버시 및 보호가 단순히 최우선이 아니라 고객이 신뢰할 수 있는 대상이라는 분명한 메시지를 전달할 수 있습니다.
현대의 CISO는 지속적인 긍정적인 고객 감정 및 신뢰와 관련된 보안 전략 및 정책의 경쟁 우위를 강조하는 데 시간을 할애하는 것이 중요합니다. 사후 보안만으로는 동일한 영향을 미치지 않으며, 사용 가능한 모든 리소스로 특권 자산을 보호하는 데 초점을 맞춘 균형 잡힌 접근 방식이 궁극적인 차별화 요소가 될 수 있습니다.
더 이상 변명의 여지가 없지만, CISO가 진정으로 혁신적인 보안 전략을 위한 적절한 자금 조달을 모색하면서 강조할 수 있는 설득력 있는 이유는 많습니다.
Klicken Sie auf den folgenden Link und laden Sie die PDF-Datei dieser Ressource herunter.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Bericht anzeigenDemo-Termin vereinbaren
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Matias ist ein Forscher und Entwickler mit mehr als 15 Jahren praktischer Erfahrung im Bereich der Softwaresicherheit. Er hat Lösungen für Unternehmen wie Fortify Software und sein eigenes Unternehmen Sensei Security entwickelt. Im Laufe seiner Karriere hat Matias mehrere Forschungsprojekte zur Anwendungssicherheit geleitet, die zu kommerziellen Produkten geführt haben, und kann auf über 10 Patente verweisen. Wenn er nicht am Schreibtisch sitzt, ist Matias als Ausbilder für fortgeschrittene Anwendungssicherheitstrainings courses tätig und hält regelmäßig Vorträge auf globalen Konferenzen wie RSA Conference, Black Hat, DefCon, BSIMM, OWASP AppSec und BruCon.
Matias hat einen Doktortitel in Computertechnik von der Universität Gent, wo er die Sicherheit von Anwendungen durch Programmverschleierung untersuchte, um die innere Funktionsweise einer Anwendung zu verbergen.
이 기사는 에 처음 게재되었습니다. SC 매거진.여기에 업데이트 및 신디케이트되었습니다.
CISO는 점점 더 어려운 상황에 처해 있습니다. 즉, 더 많은 자산을 보호하고, 더 많은 코드를 배포하고, 더 큰 공격 대상을 줄이고, 급격히 줄어드는 재정 자원으로 이를 처리해야 합니다.사이버 보안이 비용 센터로 간주되고 있다는 것은 피할 수 없는 사실입니다. 조직의 보안 프로그램이 위협 행위자를 가로막아 내일의 끔찍한 헤드라인이 되고 있음에도 불구하고 보안 리더는 경영진이 이해할 수 있는 언어로 해당 부서의 전반적인 비즈니스 가치를 판매하고 입증하기 위해 더 많은 노력을 기울여야 합니다.
세계적 수준의 CISO는 이러한 상황에 대응하여 고객 신뢰와 브랜드 평판을 높이고 사용 가능한 모든 도구를 활용하여 부인할 수 없는 가치를 창출하는 포괄적인 보안 프로그램을 주도하고 있습니다.보안 우수성을 유지하기 위한 시간, 자원 또는 인력이 충분하지 않다는 사고방식을 버리고 일반적인 보안 위험에 대한 전략적이고 예방적인 접근 방식으로 시작됩니다.
이사회실에서 토론을 변경하세요.
현재의 경제 상황에서 지출하는 비용, 고용 규모, 비즈니스 목표에 미치는 전략적 영향에 대한 조사를 피하는 기업과 부서는 거의 없습니다.현대 기업에 광범위한 사이버 보안 프로그램이 필요하다는 것은 당연한 일처럼 보일 수 있지만, 이는 조직에 상당한 비용을 초래하므로 투자 수익률 (ROI) 측면에서 정당화하기란 쉽지 않습니다.
최고 경영진 및 이사회 이해관계자들은 투자 사이버 보안 이니셔티브의 예상 성과를 스프레드시트의 수치와는 차원이 다른 용어로 명확하게 이해해야 합니다.CISO는 기술 지식과 이해 수준이 서로 다르므로 CISO는 접근 가능한 메시지로 자신의 사례를 제시하기 위해 노력해야 합니다.동급 최고의 사례를 제시하기 위해 프로그램의 규모, 보호가 필요한 사항, 활성화해야 할 대상을 설명하십시오.공격이 증가하고 있습니다. 하지만 예산이 이를 따라가지 못하고 있습니다.그리고 선한 싸움에 맞서 싸우는 것은 그 장점을 정당화하기 위한 구두 캠페인에서 시작됩니다.
업종을 불문하고 모든 회사가 빠르게 기술 회사로 변모하고 있다고 오랫동안 말해왔습니다.대부분의 조직에서 디지털 우선 접근 방식이 일반적이기 때문에, 이는 당시에 제공할 수 있는 최상의 보호가 필요한 대규모 공격 대상 영역입니다.보안 리더는 여러 가지 역할을 담당하지만 (너무 늦기 전까지는) 간과되고 있는 것은 이들이 본질적으로 고객 신뢰의 수호자라는 사실입니다.이는 가치 제안으로서 아무리 강조해도 지나치지 않으며 영업 및 마케팅 목표 못지않게 중요합니다.
보안에 대한 예방적 접근 방식의 가치를 입증하십시오.
최신 사이버 보안 통계 머리를 기르는 사람이야하지만 FUD를 이용하고 겁을 주는 것은 일반적으로 더 많은 예산을 확보하는 데 있어 쓸데없는 전술입니다.기업 경영진 중 사이버 보안이 우선 순위가 아니라고 주장하는 사람은 거의 없을 것입니다. 하지만 더 나은 결과를 위해 기존 리소스를 활용하는 진취적인 전략이 제시된다면 예산 증액을 수용할 가능성이 훨씬 더 높습니다.
노이스타 국제 안전 보장 이사회의 최근 연구에 따르면 기업의 50% 에 불과합니다. 알려진 사이버 보안 문제를 해결하기에 충분한 예산이 있다고 생각합니다.그리고 글로벌 사이버 공격과 함께 38% 증가했습니다. 2021년에서 2022년 사이에 이는 일반 CISO에게 훨씬 더 어려운 여정이 될 것입니다.하지만 진정한 세계적 수준의 보안 리더는 이러한 문제를 극복하고 역경을 헤쳐나갈 수 있는 역량을 갖추고 있습니다.
대부분의 시나리오에서 예방은 치료보다 쉽고 간단하며 사이버 보안도 다르지 않습니다.총체적 보안 프로그램은 사후 대응 조치를 뛰어넘어 취약성 관리까지 확장해야 합니다. 많은 CISO가 가장 우려하는 세 가지 문제 중 하나개발자가 이러한 움직임에 없어서는 안될 부분이라는 것은 당연합니다.일반적인 보안 버그를 정면으로 해결하려면 실습 교육이 필요합니다. 이를 통해 이러한 문제를 근원적으로 제거하고 애초에 프로덕션 환경에 진입하지 못하게 할 수 있습니다.지금은 품질이 낮고 안전하지 않은 코드를 계속 용서할 수 없는 시점에 이르렀습니다. 개발 집단의 숙련도를 높이는 것이 코드 수준의 취약점을 해결하는 가장 비용 효율적이고 강력한 해결책입니다.
CISO는 기존 예산을 유지하기 위해 고군분투하는 것이 중요하며, 특히 개발자를 위한 역할 기반 보안 업스킬링의 이점을 자세히 설명하는 것이 다루기 힘든 보안 기술 스택에 다음 “은총알”을 추가하는 것보다 더 빠른 승리입니다.
보안은 브랜드 기본 사항의 일부가 되어야 합니다.
대부분의 CISO는 마케팅에 대한 열정을 발휘하기 위해 자신의 역할을 맡지는 않았지만, 적어도 돈줄을 쥐고 있는 사람들에게 사례를 제시할 때는 이 부분을 담당할 수 있는 영역 중 하나입니다.
사이버 보안 프로그램이 고객 신뢰와 브랜드 충성도에 미치는 영향은 아무리 강조해도 지나치지 않습니다. 대규모 보안 침해로 인해 성경에 나오는 내용이 크게 유출될 수 있습니다.이와 반대로, 엄격한 보안 관행을 핵심 브랜드 가치와 연계하면 데이터 프라이버시 및 보호가 단순히 최우선이 아니라 고객이 신뢰할 수 있는 대상이라는 분명한 메시지를 전달할 수 있습니다.
현대의 CISO는 지속적인 긍정적인 고객 감정 및 신뢰와 관련된 보안 전략 및 정책의 경쟁 우위를 강조하는 데 시간을 할애하는 것이 중요합니다. 사후 보안만으로는 동일한 영향을 미치지 않으며, 사용 가능한 모든 리소스로 특권 자산을 보호하는 데 초점을 맞춘 균형 잡힌 접근 방식이 궁극적인 차별화 요소가 될 수 있습니다.
더 이상 변명의 여지가 없지만, CISO가 진정으로 혁신적인 보안 전략을 위한 적절한 자금 조달을 모색하면서 강조할 수 있는 설득력 있는 이유는 많습니다.
Inhaltsverzeichnis
Matias Madou, Ph.D., ist Sicherheitsexperte, Forscher, CTO und Mitbegründer von Secure Code Warrior. Matias promovierte an der Universität Gent im Bereich Anwendungssicherheit und konzentrierte sich dabei auf statische Analyselösungen. Später wechselte er zu Fortify in den USA, wo er erkannte, dass es nicht ausreicht, nur Codeprobleme zu erkennen, ohne den Entwicklern beim Schreiben von sicherem Code zu helfen. Dies inspirierte ihn dazu, Produkte zu entwickeln, die Entwickler unterstützen, den Aufwand für die Sicherheit verringern und die Erwartungen der Kunden übertreffen. Wenn er nicht an seinem Schreibtisch im Team Awesome sitzt, steht er gerne auf der Bühne und hält Vorträge auf Konferenzen wie der RSA Conference, BlackHat und DefCon.
Secure Code Warrior ist für Unternehmen da, um den Code während des gesamten Softwareentwicklungszyklus zu schützen und eine Kultur zu schaffen, in der Cybersicherheit oberste Priorität hat. Unabhängig davon, ob Sie AppSec-Manager, Entwickler, CISO oder in einem anderen Bereich der Sicherheit tätig sind, können wir Ihnen dabei helfen, die Risiken zu reduzieren, die mit unsicherem Code verbunden sind.
Demo-Termin vereinbarenDownloadHilfreiche Ressourcen für den Einstieg
Themen und Inhalte der Sicherheitsschulung
Die branchenweit besten Inhalte werden unter Berücksichtigung der Kundenrollen ständig weiterentwickelt und an die sich ständig verändernde Softwareentwicklungsumgebung angepasst. Es werden Themen angeboten, die alle Bereiche von KI bis hin zu XQuery-Injection abdecken und für verschiedene Rollen geeignet sind, von Architekten und Ingenieuren bis hin zu Produktmanagern und QA-Mitarbeitern. Sehen Sie sich vorab an, was der Inhaltskatalog nach Themen und Rollen zu bieten hat.
Die Kamer van Koophandel setzt Maßstäbe für entwicklergesteuerte Sicherheit in großem Maßstab
Die Kamer van Koophandel berichtet, wie sie sicheres Codieren durch rollenbasierte Zertifizierungen, Trust Score-Benchmarking und eine Kultur der gemeinsamen Verantwortung für Sicherheit in die tägliche Entwicklungsarbeit integriert hat.
%20(1).avif)
.avif)
Bedrohungsmodellierung mit KI: So wird jeder Entwickler zum Bedrohungsmodellierer
Sie werden besser gerüstet sein, um Entwicklern dabei zu helfen, Ideen und Techniken zur Bedrohungsmodellierung mit den KI-Tools zu kombinieren, die sie bereits verwenden, um die Sicherheit zu erhöhen, die Zusammenarbeit zu verbessern und von Anfang an widerstandsfähigere Software zu entwickeln.
Hilfreiche Ressourcen für den Einstieg
Cybermon ist zurück: Die KI-Mission zum Besiegen des Bosses ist jetzt auf Abruf verfügbar.
Cybermon 2025 Bit The Boss ist jetzt das ganze Jahr über bei SCW verfügbar. Stärken Sie die Entwicklung von Sicherheits-KI in großem Maßstab durch den Einsatz fortschrittlicher KI/LLM-Sicherheitslösungen.
Erläuterung des Gesetzes zur Cyber-Resilienz: Bedeutung der Entwicklung von Sicherheitsdesign-Software
Erfahren Sie mehr über die Anforderungen und Anwendungsbereiche des EU-Cyberresilienzgesetzes (CRA) und darüber, wie sich Ingenieurteams durch Design, Praktiken, Schwachstellenvermeidung und die Einrichtung einer Entwicklerumgebung sicher vorbereiten können.
Erfolgsfaktor 1: Definierte und messbare Erfolgskriterien
Enabler 1 bietet eine zehnteilige Reihe von Erfolgsfaktoren, die zeigen, wie sichere Codierung zu Geschäftsergebnissen wie einer schnelleren Risikominderung und Kostensenkung für die Reifung langfristiger Programme beitragen kann.
